Transfer danych osobowych do państwa trzeciego w rodo
Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych, dalej jako rodo) przewiduje nowe rozwiązania w sprawie transferu danych do państw trzecich.
Transfer danych do USA po wyroku w sprawie Schrems
6 listopada 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok (C-362/14) w związku z zapytaniem prejudycjalnym skierowanym przez sąd irlandzki rozpatrujący spór pomiędzy Maximilianem Schremsem a irlandzkim organem do spraw ochrony danych osobowych. Z uwagi na unieważnienie mechanizmu Safe Harbor („bezpieczna przystań”), ma on fundamentalne znaczenie dla podmiotów dokonujących w oparciu o tę podstawę prawną transferów danych osobowych do USA.
Sytuacja po wyroku w sprawie przekazywania danych do USA
W odpowiedzi na wyrok w sprawie Maximiliana Schrems przeciwko Data Protection Commissioner (C-362–14), organy ochrony danych osobowych, Grupa Robocza Art. 29 i Komisja Europejska wydały stanowiska dotyczące zasad przekazywania danych osobowych do Stanów Zjednoczonych.
Standardowe klauzule umowne i prawnie wiążące reguły
Standardowe klauzule umowne są atrakcyjnym instrumentem, gdyż nie wiążą się z żadnymi obowiązkami publicznoprawnymi. Zastosowanie ich jest obecnie najszybszym sposobem umożliwiającym transfer danych do USA. Przekazywanie danych w ramach tej samej grupy przedsiębiorców ułatwiają wiążące reguły korporacyjne.
Przekazywanie danych do państw trzecich – wprowadzenie
Wyrok Trybunału Sprawiedliwości UE w sprawie Maximiliana Schrems przeciwko Data Protection Commissioner (C-362/14) należy odczytywać w szerszym kontekście, określonych w dyrektywie 95/46/WE, i stanowiących jej wykonanie, przepisach krajowych, zasad przekazywania danych osobowych do państw trzecich. Doczekają się one kontynuacji w przepisach aktów pakietu reformującego ochronę danych osobowych w UE.
Dozwolony transfer danych do państw trzecich – przykłady
Zasadą jest, że przekazanie danych osobowych do państwa trzeciego (poza EOG) może nastąpić tylko wtedy, gdy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 ust. 1 ustawy). Między innymi art. 47 ust. 2 oraz ust. 3 ustawy wskazują na okoliczności, które umożliwiają taki transfer bez względu na poziom ochrony w państwie trzecim.
